# 启用 UEFI 安全启动
UEFI 安全启动通过确保在启动期间只加载经过验证和受信任的软件来增强系统的安全性和可靠性。
[安全启动](https://docs.qualcomm.com/doc/80-70023-11SC/topic/features.html#section-secure-boot-features)和 [UEFI 安全启动](https://docs.qualcomm.com/doc/80-70023-11SC/topic/features.html#section-uefi-secure-boot-features)是截然不同的安全功能,涵盖不同的认证镜像。
UEFI 安全启动可以在安全启动设备上启用,也可以出于测试目的在非安全启动设备上启用。
## 前提条件
### 主机要求
1. 在 Linux 主机上安装 [OpenSSL 0.9.80 June 2010(或更高版本)](https://openssl-library.org/source/)。
2. 安装以下 [efitools](https://pkgs.org/download/efitools):
>
>
> - cert-to-efi-sig-list:将 OpenSSL 证书 x 转换为 EFI 签名列表
> - sign-efi-sig-list:签署 EFI 签名列表
> - hash-efi-sig-list:从二进制文件创建哈希签名列表条目
### 在设备上配置重放保护存储块
重放保护内存块 (RPMB) 配置是 UEFI 安全启动启用所必需的。如需了解更多信息,请参阅 [RPMB](https://docs.qualcomm.com/doc/80-70023-11SC/topic/features.html#section-rpmb-features)。
## 配置 UEFI 安全启动以生成密钥和证书
可以设置初始 UEFI 安全启动配置,并将密钥和证书转换为 UEFI 可以理解的格式。请参阅工作流,了解目标外准备和设备端执行。
**图:UEFI 安全启动工作流**
Note
OpenSSL 工具包促进了安全通信和加密,而 UEFI 安全启动的密钥和签名由 efitool 管理。
## 生成密钥和证书
要启用 UEFI 安全启动,请生成一对用于签名和身份验证的密钥和证书。
密钥生成支持以下算法:
- RSA 2048/4096 与 SHA-256/SHA384 哈希算法
- ECDSA secp256r1/secp384r1
以下过程提供了以 RSA 2048 和 SHA-256 为例生成密钥和证书的说明。
Note
- 创建一个目录并在同一位置执行命令以在 Linux 计算机上执行这些步骤。
- 关于 ECC,将 `rsa:2048` 替换为 `ec:secp384r1` 或 `ec:secp256r1`。关于 SHA384,请在以下命令中将 `-sha256` 替换为 `-sha384`。
### 生成 UID
您可以生成 GUID 并创建三个新密钥,其中包含 CRT/PEM 格式的自签名证书和 `.key` 格式的密钥:
GUID 使用 `uuidgen` 生成签名所有者 GUID:
uuidgen --random > GUID.txt
Copy to clipboard
### 创建 PK 密钥
1. 创建 PK 密钥对 (RSA-2048) 和证书:
openssl req -new -x509 -newkey rsa:2048 -subj "/CN=Custom PK/" -keyout PK.key -out PK.crt -days 3650 -nodes -sha256
Copy to clipboard
2. 将 `.crt` 文件转换为 `.cer` 文件:
openssl x509 -outform der -in PK.crt -out PK.cer
Copy to clipboard
3. 将 `.crt` 文件转换为 `.esl` 文件:
cert-to-efi-sig-list -g "$(< GUID.txt)" PK.crt PK.esl
Copy to clipboard
4. 使用 `.crt`、`.esl` 和 `.key` 文件签署并生成 `.auth` 文件:
sign-efi-sig-list -k PK.key -c PK.crt PK PK.esl PK.auth
Copy to clipboard
### 创建 KEK 密钥
1. 创建 KEK 密钥对 (RSA-2048) 和证书:
openssl req -new -x509 -newkey rsa:2048 -subj "/CN=Custom KEK/" -keyout KEK.key -out KEK.crt -days 3650 -nodes -sha256
Copy to clipboard
2. 将 `.crt` 文件转换为 `.cer` 文件:
openssl x509 -outform der -in KEK.crt -out KEK.cer
Copy to clipboard
3. 将 `.crt` 文件转换为 `.esl` 文件:
cert-to-efi-sig-list -g "$(< GUID.txt)" KEK.crt KEK.esl
Copy to clipboard
4. 使用 `.crt`、`.esl` 和 `.key` 文件签署并生成 `.auth` 文件:
sign-efi-sig-list -k PK.key -c PK.crt KEK KEK.esl KEK.auth
Copy to clipboard
### 创建 dB 密钥
1. 创建 dB 密钥对 (RSA-2048) 和证书:
openssl req -new -x509 -newkey rsa:2048 -subj "/CN=Custom DB Signing Key 1/" -keyout db.key -out db.crt -days 3650 -nodes -sha256
Copy to clipboard
2. 将 `.crt` 文件转换为 `.cer` 文件:
openssl x509 -outform der -in db.crt -out db.cer
Copy to clipboard
3. 将 `.crt` 文件转换为 `.esl` 文件:
cert-to-efi-sig-list -g "$(< GUID.txt)" db.crt db.esl
Copy to clipboard
4. 使用 `.crt`、`.esl` 和 `.key` 文件签名并生成 `.auth` 文件:
sign-efi-sig-list -k KEK.key -c KEK.crt db db.esl db.auth
Copy to clipboard
## 对镜像进行签名并将 (.auth) 密钥/签名文件复制到 EFI 分区
EFI 系统分区由 EFI、loader 和 ostree 组成,其中包含使用 systemd-boot 时与 EFI 相关的信息。DTB 分区由 dtb 目录组成。
EFI 系统分区包含启动系统和管理更新的基本文件,而 DTB 分区包含硬件配置信息。本节提供以下说明:
>
>
> - 对各种镜像进行签名
> - 将 `(.auth)` 密钥和签名文件复制到 EFI 分区和 DTB 分区目录。
> - 将签名和可执行镜像(例如 `bootaa64.efi` 文件 (systemd-boot))放置在 `efimountedbin/EFI/BOOT/` 目录中,将 `vmlinuz.x.x.xx` 文件 (Linux) 镜像放置在 `efimountedbin/ostree/poky-xxx/vmlinuz-x.x.xx` 目录中。
systemd-boot 验证签名的镜像,还用于注册以下内容:
>
>
> - UEFI 安全启动密钥放置在 `/keys` 中的特定目录中以进行密钥注册。systemd-boot 使用这些密钥,并在 UEFI 启动服务期间将其存储在 RPMB 中。
> - 您可以在 systemd-boot 加载程序配置中配置等待时间(以秒为单位)。内核加载在等待期间会延迟,因此您可以在 systemd-boot 菜单中查看和选择可用选项。
> - 设备树文件存储在 `dtbmountedbin/dtb` 目录中。UEFI 在运行时使用这些文件,并初始化设备树文件。签名时,将创建 `.sig` 个文件并将其放置在同一目录中,因为这些文件是非 PE 镜像。
>
>
> 表:EFI 系统分区(efi.bin)
>
>
> | `/EFI` | `/Loader` | `/ostree` |
> | --- | --- | --- |
> | `/Boot/bootaa64.efi` | `loader.conf` | `poky-xxx/vmlinuz-x.x.xx` |
> | | `/keys/authkeys/db.auth`
`/keys/authkeys/KEK.auth`
`/keys/authkeys/PK.auth` | |
>
>
>
>
> 表:DTB 分区 (dtb.bin)
>
>
> | `combined-dtb.dtb` | `combined-dtb.sig` | `/loader` |
> | --- | --- | --- |
> | | | `/keys/authkeys/db.auth`
`/keys/authkeys/KEK.auth`
`/keys/authkeys/PK.auth` |
### 将签名的镜像和密钥放在 EFI 分区中
按照以下步骤将已签名镜像和密钥放在 Linux 主机上的 EFI 分区中:
1. 在 `contents.xml` 文件中找到 `efi.bin` 和 `dtb.bin` 文件路径,以从元获取 `efi.bin` 和 dtb.bin` 文件。
2. 将 `efi.bin` 文件挂载至 `` 目录中,并在 `` 目录中创建 `efimountedbin` 目录。
3. 将 `dtb.bin` 文件挂载至 <workspace> 目录中,并在 <workspace> 目录中创建一个 `dtbmountedbin` 目录。
4. 挂载 `efi.bin` 文件:
sudo mount efi.bin efimountedbin
Copy to clipboard
cd efimountedbin
Copy to clipboard
5. 挂载 `dtb.bin` 文件:
sudo mount dtb.bin dtbmountedbin
Copy to clipboard
cd dtbmountedbin
Copy to clipboard
6. 在 `/efimountedbin/loader/keys` 目录中创建 authkeys 目录以注册密钥。
7. 选择 `.auth` 文件(`PK.auth`、`KEK.auth` 和 `db.auth`)并将其复制至 authkeys 目录。
sudo cp
/efimountedbin/loader/keys/authkeys/
Copy to clipboard
8. 在 `/dtbmountedbin/loader/keys directory` 中创建一个 `authkeys` 目录以注册密匙。
9. 选择 `.auth files`(PK.auth、KEK.auth 和 dB.auth),并将其复制到 `dtbmountedbin` 中的 authkeys 目录。
sudo cp /dtbmountedbin/loader/keys/authkeys/
Copy to clipboard
10. 使用密匙对 `bootaa64.efi and dtb`、`vmlinuz-x.x.xx` 和 `combined-dtb.dtb` 镜像文件进行签名,并将其复制到 `efimountedbin` 目录中的相应的目录。
1. 为 `efi` 镜像签名:
sbsign 工具旨在对 EFI 启动镜像进行签名,例如遵循 EFI 规范的 `bootaa64.efi`。此工具用于 UEFI 安全启动签名,可在 Linux 系统上下载并使用。需要注意的是,sbsign 只能对扩展名为 `.efi` 的 PE 镜像进行签名。
1. 将 `/efimountedbin` 目录 `/EFI/BOOT` 中的 `bootaa64.efi` 文件和 `/ostree/poky-xxx/vmlinuz.x.x.xx` 目录中的 `vmlinuz-x.x.xx` 文件复制至 Linux 计算机上的 `images` 目录。
2. 在镜像上签名:
>
>
> cd /images
> Copy to clipboard
>
>
> sudo sbsign --key /keys/db.key --cert /keys/db.crt bootaa64.efi --output /bootaa64.efi
> Copy to clipboard
>
>
> sudo sbsign --key /keys/db.key --cert /keys/db.crt vmlinuz.x.x.xx --output /vmlinuz.x.x.xx
> Copy to clipboard
2. 对 `dtb` 镜像进行签名:
已通过 UEFI 安全启动身份验证的所有镜像都是常规 API,通常采用 PE 格式。签名标头和大小追加到现有 PE 标头,签名追加到已签名文件的末尾。
但是,当非 PE 格式的镜像需要 UEFI 安全启动身份验证时,缺少 PE 标头及魔数会导致识别镜像格式失败。因此,无法使用标准工具和路径进行镜像验证。
目前 UEFI 安全启动验证的镜像列表中,只有 dtb 文件是非 PE 格式的镜像。作为 sbsign 工具的替代方案,您可以使用 `OpenSSL cms` 命令生成签名文件,用于对非 PE 格式的镜像进行签名。
按照以下步骤对非 EFI 镜像进行签名:
1. 要对 dtb 文件和签名文件进行签名,请运行以下命令:
>
>
> openssl cms -sign -inkey < .key file > -signer < .crt file > -binary -in –out < Output .dtb.sig file > -outform DER
> Copy to clipboard
2. 要对镜像进行签名,请运行以下命令:
>
>
> cd /images
> Copy to clipboard
>
>
> sudo openssl cms -sign -inkey /keys/db.key -signer /keys/db.crt -binary -in combined-dtb.dtb --out combined-dtb.sig -outform DER
> Copy to clipboard
11. 将签名的 `combined-dtb.sig`、`vmlinuz.x.x.xx` 和 `bootaa64.efi` 镜像复制回其各自的目录 `(dtbmountedbin/, efimountedbin/ostree/poky-xxx/, and efimountedbin/EFI/BOOT/)`。
12. 配置 systemd-boot 管理器显示菜单的超时时间:
1. 使用 sudo access 打开并编辑 `/loader/loader.conf` 处的 `loader.conf` 文件:
>
>
> sudo vi loader.conf
> Copy to clipboard
2. 添加行 `timeout 10` 以设置启动菜单超时并保存文件。
13. 要卸载 EFI 二进制文件以获取最新的 `efi.bin` 文件,请运行以下命令:
>
>
> sudo umount efimountedbin
> Copy to clipboard
14. 要卸载 DTB 二进制文件以获取最新的 `dtb.bin` 文件,请运行以下命令:
>
>
> sudo umount dtbmountedbin
> Copy to clipboard
15. 要在目标上刷写签名的镜像和密钥,请将设备置于快速启动模式并使用以下命令刷写更新的 `efi.bin` 和 `dtb.bin` 镜像:
>
>
> fastboot flash efi
>
> fastboot flash dtb_a
> Copy to clipboard
## 从 systemd-boot 菜单启用 UEFI 安全启动
确保先生成 EFI 签名镜像和安全启动密钥,然后将其刷写到目标上;同时完成 systemd-boot 管理器超时配置。有关详细信息,请参阅[对镜像进行签名并将 (.auth) 密钥/签名文件复制到 EFI 分区](https://docs.qualcomm.com/doc/80-70023-11SC/topic/enable-uefi-secure-boot.html#section-sign-images-copy-auth-key-label)。
Note
使用 systemd-boot 管理器将密钥存储到 RPMB 的密钥注册是一次性操作。成功注册密钥后,无法重新配置和更新 UEFI 安全启动密钥。
以下步骤可在设备上启用 UEFI 安全启动。
1. UEFI 加载完毕并在下次启动时运行后,systemd-boot 管理器会在以下串口日志中显示交互式菜单。
>
>
> Qualcomm Linux 1.5-ver.1.1 (ostree:0) Enroll Secure Boot keys: authkeys
> Boot in 10 s. ?????????????????????????????????????????????????
> Boot in 9 s. ?????????????????????????????????????????????????
> Boot in 8 s.
> Copy to clipboard
2. 使用 **vol-** 键停止超时,显示 **Enroll Secure Boot keys: authkeys**。
3. 使用**电源**键开始注册。接下来会有一个超时时间,用户可选择中止此次注册操作。在超时时间内,请勿使用任何密钥。超时完成后,执行密钥注册操作。成功密钥注册操作如下日志所示。
>
>
> Qualcomm Linux 1.5-ver.1.1 (ostree:0) Enroll Secure Boot keys: authkeys Enrolling secure boot keys from directory: \loader\keys\authkeys
> Warning: Enrolling custom Secure Boot keys might soft-brick your machine!
> Enrolling in 15 s, press any key to abort.
> ...
> Enrolling in 0 s, press any key to abort.
> Custom Secure Boot keys successfully enrolled, rebooting the system now!
> Copy to clipboard
4. 成功注册密钥后,UEFI 会自动从 SetupMode 切换到 UserMode。然后 systemd-boot 会触发设备重新启动。
5. 下次设备启动时,UEFI 将以 UserMode 启动,并启用 UEFI 安全启动。以下串口日志显示 UEFI 安全启动成功启用。
>
>
> EFI stub: Booting Linux Kernel...
> EFI stub: Loaded initrd from LINUX_EFI_INITRD_MEDIA_GUID device path
> EFI stub: UEFI Secure Boot is enabled.
> EFI stub: Using DTB from configuration table
> EFI stub: Exiting boot services...
> Copy to clipboard
6. UEFI 安全启动成功启用后,恢复 systemd-boot 管理器超时配置。
## 对未签名镜像进行哈希处理并更新数据库以进行镜像身份验证
UEFI 安全启动允许镜像身份验证。此身份验证是通过存储在签名数据库 (dB) 中的镜像的哈希来实现的,即使镜像未签名或镜像中的证书不存在于 dB 中也是如此。
此过程保留用于无法从其供应商提供的状态签名或更改的内容。如果镜像哈希在数据库拒绝 (dBX) 列表中可用,则可以删除对签名二进制文件的信任,而无需撤销相应的证书或密钥。例如,在处理易受近期漏洞利用的早期签名 boot loader 时,这很有用。。
应用签名并为同一二进制文件创建 dB 哈希是多余的。如果镜像合成不需要任何更改,这意味着不会在镜像中添加或修改新密钥和证书,并且现有镜像不需要 UEFI 安全启动身份验证,请按照以下步骤操作。
您可以计算镜像的哈希值并生成允许的签名 dB 文件。
### 为未签名镜像生成 db.auth 文件
1. 生成所有要验证的镜像的哈希值,并将哈希值转换为 `.esl` 文件:
hash-to-efi-sig-list